Definition

Test d'intrusion

Cette définition fait partie de notre Guide Essentiel : Menaces informatiques : comment renforcer ses premières lignes de défense

Un test d'intrusion est la pratique qui consiste à tester un système informatique, un réseau ou une application Web pour y déceler des vulnérabilités susceptibles d'être exploitées par un pirate.

Ce type de test peut être automatisé à l'aide d'applications ou effectué manuellement. Dans les deux cas, il s'agit de recueillir des informations sur la cible avant d'effectuer le test (reconnaissance), d'identifier les points d'entrée possibles, de tenter de s'infiltrer (virtuellement ou réellement), puis de rapporter les résultats obtenus.

L'objectif principal d'un test d'intrusion est d'identifier les failles de sécurité. Un test de ce genre peut également servir à vérifier qu'une organisation respecte les règles de sécurité, que ses employés sont sensibilisés à cette problématique et que l'organisation est en mesure d'identifier les incidents et d'y répondre.

Les tests d'intrusion obéissent à différentes stratégies :

Tests ciblés

Ils sont réalisés dans le cadre d'une collaboration entre le service informatique de l'entreprise et l'équipe chargée des tests d'intrusion. Cette méthode est parfois dite « avec lumière allumée » (lights-turned-on), car tout le monde peut voir le test en cours d'exécution.

Tests externes

Ce type de test d'intrusion cible les serveurs ou les appareils d'une entreprise qui sont visibles de l'extérieur, notamment les serveurs de nom de domaine (DNS, Domain Name Server), les serveurs de messagerie, les serveurs Web ou les pare-feu. Le but est de déterminer si un attaquant extérieur peut s'infiltrer dans le système et jusqu'où il peut aller une fois l'accès obtenu.

Tests internes

Ce type de test imite une attaque interne, derrière le pare-feu, par un utilisateur disposant d'autorisations avec droits d'accès standard. Il permet notamment d'estimer les dommages que pourrait causer un employé mécontent.

Tests en aveugle

Une stratégie de test en aveugle consiste à simuler les actions et procédures d'un véritable pirate en limitant strictement les informations communiquées à la personne ou à l'équipe qui effectue les tests.

Par exemple, on peut ne leur indiquer que le nom de la société. Etant donné que ce type de test peut exiger énormément de temps au cours de la phase de reconnaissance, il s'avère souvent onéreux.

Tests en double aveugle

Il s'agit de tests en aveugle poussés à l'extrême. Dans cette approche, seules une ou deux personnes de l'entreprise sont informées qu'un test est en cours.

Les tests en double aveugle peuvent servir à mettre à l'épreuve les procédures de contrôle de sécurité et d'identification des incidents d'une entreprise, ainsi que les réponses mises en place.

 

Cette définition a été mise à jour en janvier 2017

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)